|
3.1 背景 为了将跳板机做成安全服务,减少安全运维人员工作量,实现高效自动化运维的跳板机服务系统,我们有必要设计并实现一套跳板机服务系统。 3.2 系统框架 我们设计了一套比较完整的自动化运维跳板机服务系统,其整体框架如图3-1所示。  图3-1 跳板机服务系统框架图 从图3-1中可以看出,整个系统主要分为五个部分:Web管理平台、事件调度处理模块、跳板机群、被管理的服务器和日志分析模块。其中,Web管理平台是管理跳板机服务系统的交互界面,所有用户都是通过这个Web平台进行管理的,包括申请添加删除权限,主动授予权限,回收权限,添加删除服务器,查看日志告警等等。事件调度处理模块,是用来获取用户在Web管理平台下达操作指令,并将它们转发给相应的跳板机进行处理。跳板机群是由多个跳板机服务器组成的,一般来说,一个部门拥有1-2台跳板机,这些跳板机分别管辖着不同部门的服务器。被管理的服务器通常是以不同的部门来分组,各组的服务器只能被该部门的跳板机管理,而且不能同时隶属于多个跳板机,这样可以避免权限的交叉混乱。用户通过跳板机登陆服务器,此外其在服务器上的任何操作都会被记录下来,并同步到数据库中。而日志分析模块会对数据库中的操作记录进行分析,将危险操作提取出来,并按危险等级进行分类,对高危害的操作会实时地通知跳板机管理员和安全运维人员。 3.3 技术平台 理论上来说,该系统的访问并发量不是很大,为了加快开发速度,所以我们采用了python语言为主来开发,而跳板机底层的转发模块由于涉及的用户的操作,所以采用了C来开发,保证了效率和性能。  由于Python开发速度快,加上第三方的库比较多,所以绝大部分的开发都采用Python2.7作为主要开发语言。所以,倘若你的开发团队人手不够的话,可以参考我上面所使用的技术平台方案。 3.4 小结 跳板机服务系统的核心在于,它不仅仅是给使用者提供一台跳板机,而是提供一套完整的跳板机服务方案,使用者不需要关心跳板机如何运作的,也不需要自己去维护跳板机。各部门跳板机的管理员都是由该部门领导指定的,管理本部门相关的权限及审计。用户和管理员都仅仅通过Web页面操作就可以完成所有的操作,不需要安全运维人员的参与,而安全人员也没必要了解各个部门内具体管理事宜,可以集中精力去维护和增强整个系统,从而实现了跳板机的自动化的运维。 |
|
|
